Serveur web piraté

Discussion dans 'Administration d'un site Web' créé par nicocolt, 14 Décembre 2013.

  1. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    Bonsoir,

    J'ai un serveur web contenant plusieurs domaines qui s'est fait piraté. Un script .zip a été uploadé et déploie un site poiur faire du phishing. Avez-vous déjà rencontré ce mode opératoire ? Sauriez-vous m'aiguiller sur le point d'entrée éventuel ?

    J'imagine que c'est un site qui est défaillant, mais je ne sais pas comment faire pour les "tester"

    Merci beaucoup pour votre aide.

    N /
     
  2. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
    Ce sera très difficile de t'aider sans connaître les sites ou les scripts utilisés.
    Essaie de détecter ceux qui ne sont pas à jour. Essaie un audit dans le genre de Snort (enfin je crois, ça fait pas mal de temps que je l'ai utilisé). Ou demande à quelqu'un de te faire cet audit.
     
  3. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    Merci pour ta réponse.

    Je dois être en mesure de pouvoir auditer le serveur, mais comme il existe tellement d'outils, je ne sais pas lequel utiliser. Tu m'as parlé de Snort, je vais essayer de regarder cet outil. Si jamais tu en connais d'autres je suis preneur.

    Merci beaucoup !
    N /
     
  4. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    J'ai étudier snort, ça à l'air vraiment puissant. Je vais essayer de voir pour l'installer sur un reverse proxy en frontal du serveur web, afin de ne pas en modifier la conf.

    Je vais donc pour cela installer un Apache en RP, Snort, Bind pour faire pointer les domaines sur le RP à la place sur serveur web, et je vais essayer d'analyser les trames suspectes.

    Merci
    N /
     
  5. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Hello,

    tu peux déjà essayer de te baser sur les dates de modification des fichiers & dossiers, pour détecter ce qui a été modifié récemment. Idem avec les propriétaires des fichiers (selon la conf du serveur).
    Ensuite, tu peux regarder les logs FTP ou SFTP, pour voir si quelqu'un d'autre que toi s'est connecté.

    Bien entendu, selon le niveau d'accès du gars, il peut avoir effacé toutes ces traces.
     
  6. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    Hello,

    Merci de ta réponse.

    Je vois dans les logs Apache des trucs du genre:
    [08/Dec/2013:11:09:35 +0100] "GET / HTTP/1.1" 200 3064 "http://domain.tld/" "Mozilla/0.6 Beta (Windows)"

    domaine.tld ne m'appartenant pas, comment, à partir d'un GET / sur mondomaine.com, j'arrive à voir http://domain.tld/ ?

    Comment a-t-il pu faire cela ?

    Merci
    N /
     
  7. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Rien d'anormal à ça : il suffit que ce soit un domaine abandonné, et qui pointait avant sur la même IP. Ou bien encore un robot qui cherche à «spammer» tes referer.
     
  8. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    En effet oui.

    Bon j'ai pas mal avancé et j'ai trouvé des reverse shell php. Ils ont donc été uploadé je ne sais pas trop comment. Il y a pas mal de formulaire sur mes sites, peut-être que le pirate est passé par là, mais je vois pas trop comment il aurait pu à partir d'un champ texte écrire une commande permettant d'uploader un fichier. Vous pensez que c'est possible ? Si oui auriez-vous un exemple que je puisse tester sur mes sites ?

    Merci,
    N /
     
  9. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Oui c'est complètement possible, mais ça dépend de ton code, je n'aurais guère d'exemple à te donner.

    Du coup autre approche : tu prends la date/heure de création d'un de ces «reverse shell php», la date exacte telle que le serveur l'entend, pas quelque chose interprétée par FileZilla.
    Ensuite tu regardes dans les logs Apache ce que tu as comme accès au même instant (à plus ou moins 1 seconde on va dire).
    Si tu as plusieurs «reverse shell» du genre, en recoupant avec les logs tu devrais rapidement trouver la ou les failles.

    À noter en passant que Clamav n'est pas mauvais pour détecter ces cochonneries, ce qui pourrait te faciliter le nettoyage du site.
     
  10. werthers
    werthers WRInaute discret
    Inscrit:
    11 Décembre 2007
    Messages:
    61
    J'aime reçus:
    0
    Tu peux aussi tout simplement changer tous tes mots de passe (FTP, SQL, managers du FAI, Wordpress/Joomla/etc ...).
    Car s'il y avait une porte ouverte, mieux vaut la fermer de toute urgence !
     
  11. nicocolt
    nicocolt Nouveau WRInaute
    Inscrit:
    4 Septembre 2007
    Messages:
    21
    J'aime reçus:
    0
    Merci,

    J'ai réussi à uploader un shell par un formulaire. Je peux maintenant corriger. Par ailleurs oui j'ai changé tous les mots de passe, c'est ce que j'avais fait en premier :)

    Merci beaucoup pour votre aide.

    N /
     
Chargement...
Similar Threads - Serveur web piraté Forum Date
Serveurs web : tendance Microsoft ? Administration d'un site Web 6 Juin 2018
Localisation géographique serveur web / hébergement mutualisé Administration d'un site Web 26 Juin 2016
Serveur web chez soi certificat ssl possible ? Administration d'un site Web 20 Février 2016
Outil surveillance : site web sur off ou serveur down ? Administration d'un site Web 28 Mars 2013
Comment comprendre la charge d'un serveur web Apache Administration d'un site Web 22 Mars 2013
Adresse ip du serveur web et référencement Débuter en référencement 25 Janvier 2013
[sondage] Avez vous un module de décryptage sur votre serveur web ? Administration d'un site Web 24 Octobre 2012
Mise en place d'un serveur Websocket PHP sur Debian Administration d'un site Web 1 Avril 2012
Stocker des données sur le serveur à travers webservice Développement d'un site Web ou d'une appli mobile 10 Novembre 2011
Mise en place d'un serveur web Administration d'un site Web 14 Mars 2011